|
Plagegeister aller Art und deren Bekämpfung: Hack+Passwort stealingWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.06.2006, 19:49 | #1 |
| Hack+Passwort stealing Hallo, ich hab folgendes Problem unzwar hab ich letztens eine Datei runtergeladen, die ein Virus sein könnte... Nun sind seid gestern jegliche Accounts gelöscht und meine E-mails wurden alle gelöscht... Ich habe schon jegliche antivirenprogramme durchlaufen lassen, doch immer finden diese nix... Jmd. sagte mir, dass es sich womöglich um solch Trojaner handeln könnte: PSW [Password Stealing Ware] - Trojaner Win32 Trojaner Mein Betriebssystem ist WinXp Fehlermeldungen werden sowohl von antivir HijackThis avast! stinger nicht angezeigt Könnte mir jmd. helfen wie ich den entferne? Vielen dank Geändert von masu (20.06.2006 um 19:58 Uhr) |
20.06.2006, 19:53 | #2 |
| Hack+Passwort stealing @masu
__________________Bitte NUB/ Goldene 7 Regeln lesen und Beitrag korrigieren. |
20.06.2006, 20:04 | #3 | |
Moderator, a.D. | Hack+Passwort stealingZitat:
Poste mal ein Hijackthis-Logfile; Anleitung in Signatur beachten! Gruß Yopie |
20.06.2006, 20:09 | #4 |
| Hack+Passwort stealing Logfile of HijackThis v1.99.1 Scan saved at 21:08:38, on 20.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\System32\svchost.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe C:\WINDOWS\SOUNDMAN.EXE D:\Tools und Progrämmchen\Winamp\winampa.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Tools und Progrämmchen\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe E:\Programme\Steam\Steam.exe C:\Programme\T-Eumex\ISDN Guard\agfguard.exe D:\Tools und Progrämmchen\Kaspersky Anti-Hacker\KAVPF.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Matze\Desktop\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [WinampAgent] D:\Tools und Progrämmchen\Winamp\winampa.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ICQ Lite] D:\Tools und Progrämmchen\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "E:\Programme\Steam\Steam.exe" -silent O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Tools und Progrämmchen\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ISDN Guard.lnk = C:\Programme\T-Eumex\ISDN Guard\agfguard.exe O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Tools und Progrämmchen\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Tools und Progrämmchen\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe |
20.06.2006, 20:16 | #5 | |
Moderator, a.D. | Hack+Passwort stealing Log sieht für mich sauber aus. Zitat:
Welches Mailprogramm nutzt du? Gruß Yopie |
20.06.2006, 20:27 | #6 |
| Hack+Passwort stealing meine Accounts bei der ESL, rushed.de, readmore.de, chip.de sind alle deletet und bei meiner emailadresse bei web.de wurden alle meine emails gelöscht, allerdings sind bei gmx.de keine gelöscht worden ich hab schon programme wie stinger und avast! etc. drüberlaufen lassen, aber diese finden keine würmer trojaner oder ähnliches... mein account auf der esl seite wurde gelöscht nachdem ich eine exe datei runtergeladen hab, die eigentlich ein tool sein sollte, um eine servercfg besser einzustellen, als ich diese exe datei runtergeladen und draufgeklickt habe, kam nix weiteres, so habe ich sie direkt gelöscht, doch am nächsten morgen war halt mein account bei der esl und mein web.de account weg |
20.06.2006, 20:32 | #7 |
Moderator, a.D. | Hack+Passwort stealing Tja, das sieht nicht gut aus. Hast du eine Möglichkeit, diese komische Datei wiederherzustellen oder nochmal zu besorgen, um sie z.B. mal unter virustotal.com scannen? Mach auch mal einen eScan, genau nach der Anleitung in der Sig vorgehen, und poste die Funde mit der find.bat! Gruß Yopie |
20.06.2006, 20:34 | #8 |
| Hack+Passwort stealing ahja ... exec rofl_skill.cfg? Netz gegen Cheatende Scriptkiddies Dein Logfile ist sauber, soetwas wie nen Virus seh ich nicht. Sende mir doch einfach mal das File per PM. mfg, Markus |
20.06.2006, 20:36 | #9 |
| Hack+Passwort stealing Ich bedanke mich aber schonmal bei dir, dass du mir so eifrig hilfst! Geändert von masu (20.06.2006 um 20:44 Uhr) |
20.06.2006, 20:41 | #10 | |
| Hack+Passwort stealingZitat:
EOD |
20.06.2006, 20:41 | #11 |
| Hack+Passwort stealing ergebnis folgt, ich bin sowieso schneller mfg, Markus |
20.06.2006, 20:41 | #12 |
Moderator, a.D. | Hack+Passwort stealing Kannst du den Link bitte rausnehmen, Links zu potentieller Malware sind hier nicht erwünscht! (Ich hab das File nun.) Gruß Yopie |
20.06.2006, 20:43 | #13 |
| Hack+Passwort stealing hä was daran schwachsinnig? Ich habe mir vorgestern abend eineserver_setup.exe datei runtergeladen! Diese konnte ich jedoch nicht öffnen, so hab ich sie wieder entfernt. Doch gestern morgen war mein esl account deletet und die anderen accounts auch... so denke ich könnte ein zusammenhang damit verbunden sein!? hab den link rausgenommen markus was meintest du mit: exec rofl_skill.cfg und Netz gegen Cheatende Scriptkiddies? Geändert von masu (20.06.2006 um 20:48 Uhr) |
20.06.2006, 20:48 | #14 | |
| Hack+Passwort stealing ach nichts. Es könnte sich dabei übrigens wirklich um potentiell gefährliche maleware handeln. Das "setup" ist mit PE_PATCH UPX gepackt, wwie fast alle Viren/Trojaner auch. Scanner bringen nix, was keinesfalls heißt, dass es "nix" ist. Jotti: Zitat:
Und - wer schickt das File nun an die Antivirenspezis? Übrigens würde ich gerne wissen wer dir das mit dem File geflüstert hat. Wenn man so naiv ist und alles gleich downloadet und ausführt, sollte man sich lieber die Internetkosten sparen mfg, Markus |
20.06.2006, 20:50 | #15 |
| Hack+Passwort stealing mmhh, also besteht nur die Möglicheit, dass ein hacker von aussen eingedrungen is, oder eben, dass es doch ein trojaner is, der die pws entschlüsselt? |
Themen zu Hack+Passwort stealing |
accounts, antivirenprogramme, avast, avast!, betriebssystem, datei, e-mails, entferne, folge, folgendes, gelöscht, gestern, hack, handel, helfen, hijack, hijackthis, jegliche, password, passwort, problem, programme, runtergeladen, stinger, troja, trojaner, virus |